Проблема Крипт шеллкода meterpreter

b0d

b0d

Active member
02.11.2019
35
57
Пытаюсь обойти дефендер.

Сделал билд по этой статье, выставил флаги и пожал упхом


Дефендер сам ехе не палит, но после запуска и коннекта на хендлер метасплоита дефендер просыпается и убивает процесс.
Орет что обнаружен метерпретер.
Получается, что реагирует он именно на шеллкод.
Вопрос, как бы его так криптануть чтобы дефендер успокоился.


Нашел как парни криптуют шеллкод, но ведь при раскриптовке это будет тот же самый шеллкод? Или такой криптовки достаточно?


У меня есть подозрение, что раз мой ехешник уже не палиться до запуска, то и нет смысла криптовать шеллкод, запал происходит во время его исполнения, а когла шеллкод исполняется он уже расшифрован.

Типа лишний маневр.

Вот здесь ребята с rapid7 про это пишут, мол с runtime и есть основная проблема.


Вопрос в том куда дальше копать?
Если я заморочусь на крипт шеллкода, то придется еще и декрипт прикрутить и возможно я получу то что уже имею, запал шеллкода в памяти.
Как можно видоизменить его в памяти?

Накопал hyperion, еще не пробовал, но это похоже на runtime криптор.

Может нужно вообще в другоую сторону копать?

Я рассуждаю так, что если запал идет самого шеллкода, то нужно лиьбо его видоизменить, либо обфуцировать, либо както накрыть.

Видоизменить шеллкод это слишком круто, подобрать иной можно, но я хочу именно meterpreter.
Остаеться только крипт рантайма и энкодинг шеллкода.
Боюсь, что энкодинг, опять же, не даст результата на уровне рантайма.

Все это происходит во время моего пентеста Подскажите вектор атаки по Windows 10
 
T

Tony

Green Team
21.09.2019
86
12
А нагрузка какая генерируется? staged или stageless? Возможно твой пейлоад палится во время подгрузки модулей метерпретер с листенера.
 
s unity

s unity

Well-known member
18.09.2019
118
11
Пытаюсь обойти дефендер
это, я так понимаю, стандартный защитник винды? так он тупой, как столб, тупо стоит. он не шманает код экзешника, он тупо блокирует неизвестные движения протоколов по портам. разреши эти движения по порту, и он не вдуплит что происходит. возможно попробовать какие то нестандартные порты. и в общем, не стоит пользоваться метерпретером как трояном. его нужно юзать внутри уязвимостей, как дополнительную нагрузку.
но чтоб не пустословить, есть некоторые инструменты, которые криптуют шеллкоды автоматом, и вроде неплохо, но есть куча своих недочетов, например нужны всякие компиляторы.

веном
но это все гиблое дело, если ломать единичную цель, то это совсем не эффективно. если ломать множественные цели, то это тоже не эффективно. делай выводы
 
A

AlCat

Member
30.10.2018
24
0
Когда дефендер убивает процесс на кали это выглядет так же?
 
b0d

b0d

Active member
02.11.2019
35
57
Когда дефендер убивает процесс на кали это выглядет так же?
Не, там идет коннект на листенер и потом сразу оьрыв и метасплоит пишет чтл сессия died.
Это все происходит одновременно с алертом дефендера на машине гдетзапущен метер.

Veil evasion пробовал?
Да, скомпили все виды пэйлоадов под реверс. Везде запал.

это, я так понимаю, стандартный защитник винды? так он тупой, как столб, тупо стоит. он не шманает код экзешника, он тупо блокирует неизвестные движения протоколов по портам. разреши эти движения по порту, и он не вдуплит что происходит. возможно попробовать какие то нестандартные порты. и в общем, не стоит пользоваться метерпретером как трояном. его нужно юзать внутри уязвимостей, как дополнительную нагрузку.
но чтоб не пустословить, есть некоторые инструменты, которые криптуют шеллкоды автоматом, и вроде неплохо, но есть куча своих недочетов, например нужны всякие компиляторы.

веном
но это все гиблое дело, если ломать единичную цель, то это совсем не эффективно. если ломать множественные цели, то это тоже не эффективно. делай выводы
То что я наблюдал:
Ехе он шмонает точно, голый метерпретер палит сразу.
Бинари с криптованным метером или бинарь криптованный гиперионом он не палит.
При запуске таких бинарей, дефендер все равно палит метерпретер на моменте его запуска. Значит он смотрит процессы и память.

По поводу использования метерпретера как трояна, видимо так и есть. Просто мне так понравилась идея криптовать шеллкод и юзать его как минитроян. А оказалось, что шеллкод сллжнее криптануть чем троянский бинарник.

В Venom юзал разные энкодеры шеллкодов, но это все бесполезно.
Сами rapid7 писали, что нужно генерить криптованый пэйлоад и выставлять вывод в Си код. Тогда получешь исходник криптованного шеллкода и к нему можно написать свой лоадер.
Но это слишком жестко для меня, хотя и круто.
Но не факт, что в момент раскриптовки Ав не спалит сам шеллкод сразу в момент запуска.

Походу решил проблему неожиданным способом, скомпилил реверсшелл на golang, в нем есть фича запуска меиерпретер и запуска шеллкодов в base64

 
swagcat228

swagcat228

Grey Team
19.12.2019
335
59
По поводу использования метерпретера как трояна, видимо так и есть. Просто мне так понравилась идея криптовать шеллкод и юзать его как минитроян. А оказалось, что шеллкод сллжнее криптануть чем троянский бинарник.
хм. а почему бы не общаться посредством обычных http(s) запросов на сервер?
 
micerec

micerec

Member
29.11.2019
15
1
можно чуть подробнее
Э. Таненбаум. Современные операционные системы 2 издание. Глава 9. страница 683. Книга старая, но полезная.
Если надо, могу попробовать прикрепить .pdf.
Еще попробуйте Э. Таненбаум. Компьютерные сети. 5 издание. Описание ARP, TCP, UDP, OSI, IPv4, DNS, Спутники - Iridium, Inmarsat. и все что надо для понимания сетей. IEEE 802.11 - все по порядку. Bluetooth и 5-G немного затрагиваются

Есть статья на этом ресурсе - там книги и в прочем есть ОЧЕНЬ полезные материалы.
Мне это очень помогло в свое время
 
Мы в соцсетях: